论文部分内容阅读
摘要:随着计算机网络新技术、新标准的不断涌现,计算机网络得到了普及,为人们带来了无穷的资源,但随之而来的网络安全问题也显得尤为重要,文章重点介绍了局域网安全控制与管理的一些策略。
关键词:LAIN;威胁;安全控制;管理
随着计算机网络技术的不断发展和网络应用系统的普及,计算机网络在提高数据传输效率,实现数据集中、数据共享等方面发挥着重要作用。其已成为各类网络应用系统运行的基础保障和有利支撑。为确保各项业务的高效开展,保证网络、应用系统安全、稳定运行,计算机网络和系统安全建设、控制与管理就显得尤为重要。
一、局域网安全现状
目前广域网已有了相对完善的安全防护体系,如包过滤路由器、防火墙、入侵检测系统等网络边界方面的防护,这些安全设备大致集中于机房或网络出口处,在其严密监控下来自外网的安全威胁大大减小。相反内网客户端的安全缺乏必要的控制与管理措施,安全威胁较大。网络系统本身存在的安全弱点,以及网络在使用和管理过程中的疏漏增加了局域网安全问题的严重程度。
二、局域网安全威胁分析
纵观局域网技术的发展历程,快速以太网和千兆以太网技术发展最快,其以技术简单,组网容易,高数据速率等特点倍受人们信赖。这些特性也给病毒传播提供了条件。局域网的安全威胁通常有以下几类:
(一)服务器区域没有进行独立防护。如果局域网中服务器区域不进行独立防护,当一台Pc感染病毒,其与服务器进行信息交换就会感染服务器,这样局域网中任何一台通过服务器进行信息交换的电脑就会感染病毒,从而加快病毒在局域网内的传播速度。虽然在网络出口处有防火墙等网络边界设备阻断对外来攻击,但无法抵挡来自局域网内部的攻击。
(二)计算机病毒与木马的威胁。由于操作系统补丁和防病毒系统安装或更新的不及时,就会为病毒人侵提供条件。另外移动存储设备的无限制使用,也是病毒与木马人侵的途径。
(三)局域网用户安全意识不强。网络安全意识不强具体表现在移动存储设备的无限制使用、电脑在内外网之间的频繁切换和无意识的泄漏敏感信息等方面。
(四)局域网管理力度不足。网络管理力度不足具体表现在管理制度与规范不完善、局域网物理接人管理不严、无线设备的非加密通信、服务器端口管理不到位和IP地址规划与管理的缺陷。
三、局域网安全控制与管理策略
针对上述网络安全威胁分析可采取的局域网安全控制与管理策略有:
(一)利用防火墙技术实施服务器区域独立防护。
防火墙尤如一道防护栏隔在被保护的内网与外网之间,其可以是非常简单的过滤器,也可能是精心配置的网关,但它们的原理是一样的,都是监测并过滤所有内网和外网之间的信息交换,保护内网敏感数据不被窃取与破坏,记录内外网通信的相关日志等等。要对服务器区域实施独立防护,又不严重影响局域网的高速交换,选择防火墙来实现是比较理想的方案。
按拓扑结构可以通过防火墙分离出两个DMz区(非军事化区域)。其中内部DMz区域(服务器区域1)可对不需要外网用户访问,且对内网用户进行访问控制的一类服务器进行保护,例如应用服务器、数据库服务器等;外部DMz区域(服务器区域2)可对既需要为内网用户提供服务也需要为外网用户提供服务的一类服务器进行访问控制,例如wEB服务器、E_mail服务器等。虽然利用双重防火墙阻挡了在网络出口和人口处的攻击,但防火墙并不能消除网络上Pc机的病毒与木马,也不能控制不通过它而传输的任何信息。
(二)计算机病毒与木马防护。
网络病毒与木马能在短时间内使局域网瘫痪,造成巨大的损失,可见防毒要比查杀病毒更重要。防护局域网病毒与木马主要应从以下几个方面制定控制与管理策略:
1、解决局域网客户端操作系统补丁更新问题。
计算机操作系统漏洞为病毒侵袭和执行提供了条件,在局域网中进行操作系统补丁的更新有多种方法:单机通过因特网直接升级;局域网用户手工升级;利用补丁更新服务器升级。WSUS(Windows Server Update Services)提供免费补丁更新服务,具有搭建简单、维护方便的特点,并且网络管理员无需大量的维护操作,只需做好补丁更新服务器的更新即可,是局域网解决客户端微软补丁更新问题的良好选择。
2、在局域网中部署网络版杀毒软件。
随着网络技术的不断进步,计算机病毒也在不停的产生变化,面对网络上汹涌而来的计算机病毒大潮,单机版的杀毒软件已经不能满足局域网用户的要求。各大反病毒软件厂商也针对局域网病毒、黑客攻击等难防范和管理的问题提出了各自的解决方案,纷纷推出了具有网络管理功能的网络版防杀病毒软件。从病毒防护能力、集中管理、访问控制以及界面的友好等方面看,赛门铁克公司最新推出的Symantec End#m Protection中小企业版,是较为理想的解决方案,其致力于凭借最少的配置提供企业级的安全防护。
3、在局域网中强制禁止移动存储设备的使用。
移动存储设备如移动硬盘、优盘的无限制使用,也是计算机病毒及木马入侵网络的重要安全隐患。应该通过严格的管理制度约束用户在使用移动存储设备之前进行病毒的查杀,但该方法难以监督,也不可靠,因此采取强制的手段禁止移动存储设备的使用是必要的。要强制限制移动存储设备的使用,可利用网络版赛门铁克SEP病毒防护系统的“应用程序与设备控制策略”或局域网桌面管理系统的“设备管理”来实现的。
(三)加强局域网用户的网络安全培训、提高安全意识。
安全汇集了硬件、软件、网络、人员以及它们之间互相关系的接口,人是其中最薄弱的安全环节,然而对这个环节的加固又是见效最快的。提高用户安全意识、加强网络安全培训是必要的,通过培训让局域网用户明白信息安全的重要性,理解保证信息安全是所有计算机使用者共同的责任;使其掌握一定的安全知识,学会如何备份本地的数据;使其掌握一定的网络知识,能够理解IP配置、数据共享等知识,树立良好的计算机使用习惯。
(四)加强局域网管理力度
加强局域网管理应从以下几个方面人手:
1、制定符合实际的网络管理制度和监督办法
制定符合实际的网络管理和维护方面的制度与规范,并加强其执行过程的监督,制度与规范是对网络使用者和管理者以及外来人员使用局域网必须遵守和接受的行为约束。制定制度与规范应该从网络软硬件资源的管理、安全、使用与维护等方面人手,明确指出禁止做什么、慎重做什么,应包括对诸如局域网拓扑结构、网络设备的IP、可进行正常通信的协议与端口、远程登录的用户名与口令和设备配置信息等敏感信息的保密;限制局域网用户对网络资源的不合理使用,特别是移动存储设备的滥用行为,主机在内外网间的切换行为,提供与非安 全网络间的接入行为,故意泄密和蓄意破坏等;规范网络管理者对网络资源的管理与维护操作,避免操作不当造成网络的不稳定运行,特别是IP地址的分配与管理行为,协议、端口的开启与关闭行为,拓扑结构的改变与优化行为,网络运行情况的巡检、监控与分析行为,网络故障的判断与排除行为等。制定了完善的网络管理制度与操作规范,并不意味着网络安全威胁就完全可控了,因为对制度与规范的执行过程还需要严格的监督,应该建立严格的监督机制来强化制度的执行。
2、加强对局域网物理接人的管理
局域网用户物理接入行为管理包括对空闲和备份物理线路、交换机接口的管理,就是要有效的控制局域网的擅自接人行为,可采用的措施有:一是从接入层交换机上断开空闲和备份物理线路。该方法简单,但只适用于接人层交换机放置于独立的配线间,并且该交换机不是由用户进行管理的;二是关闭接人层交换机空闲端口,即将接入层交换机空闲端口的状态修改为“关闭状态”,该方法有效,但用户接入层必须用可管理的交换机,而非集线器或中继器。
3、加强无线设备的通信管理
在无线网络技术迅速发展的推动下,有线局域网向无线局域网扩展情况越来越多,而通信过程中的非加密通信,为非法用户的无线接入提供了便利条件。目前普遍使用的扩展方式是通过无线AP来实现的,而对无线AP的通信加密又有许多方法,其中较为简单的是启用无线AP和无线终端的WEP加密,用一个共享密钥控制连接的建立和信息的加密通信。
4、加强对局域网协议和端口的管理
加强协议和端口管理的目标是通过设置网络设备和服务器允许或拒绝的协议和端口,达到对协议和端口的访问控制。通常可以采用的措施有:一是设置局域网路由器或防火墙的访问控制策略;二是设置服务器网卡的“TCP/IP筛选器”或“配置IPsvc协议”实现对服务器的访问控制。
5、加强对IP地址分配的管理
局域网IP地址的分配方案有动态和静态两种,二者均有自己的特点和适用范围,在局域网中选择哪种分配方案通常需结合局域网实际情况而定。动态IP地址分配更适合不要求用户通过身份认证后才能访问网络的情况,其减少了网络管理员的工作量,避免了IP地址冲突的问题。静态分配方案更便于管理根据IP地址限制网络流量的网络环境中,减少了进行身份认证的繁琐过程,但它给网络管理员带来较大的工作量,也容易出现IP地址重复问题。为了防止IP地址发生冲突,可同时采取下面两种策略:一是IP地址绑定策略,即将计算机IP地址与MCA地址绑定,可以使用IP-MAC地址绑定软件或ARP命令来实现。二是封存所有空闲IP地址策略,可以采用网络工具软件或将局域网空闲IP地址添加到某台服务器的备用IP地址中来实现。
关键词:LAIN;威胁;安全控制;管理
随着计算机网络技术的不断发展和网络应用系统的普及,计算机网络在提高数据传输效率,实现数据集中、数据共享等方面发挥着重要作用。其已成为各类网络应用系统运行的基础保障和有利支撑。为确保各项业务的高效开展,保证网络、应用系统安全、稳定运行,计算机网络和系统安全建设、控制与管理就显得尤为重要。
一、局域网安全现状
目前广域网已有了相对完善的安全防护体系,如包过滤路由器、防火墙、入侵检测系统等网络边界方面的防护,这些安全设备大致集中于机房或网络出口处,在其严密监控下来自外网的安全威胁大大减小。相反内网客户端的安全缺乏必要的控制与管理措施,安全威胁较大。网络系统本身存在的安全弱点,以及网络在使用和管理过程中的疏漏增加了局域网安全问题的严重程度。
二、局域网安全威胁分析
纵观局域网技术的发展历程,快速以太网和千兆以太网技术发展最快,其以技术简单,组网容易,高数据速率等特点倍受人们信赖。这些特性也给病毒传播提供了条件。局域网的安全威胁通常有以下几类:
(一)服务器区域没有进行独立防护。如果局域网中服务器区域不进行独立防护,当一台Pc感染病毒,其与服务器进行信息交换就会感染服务器,这样局域网中任何一台通过服务器进行信息交换的电脑就会感染病毒,从而加快病毒在局域网内的传播速度。虽然在网络出口处有防火墙等网络边界设备阻断对外来攻击,但无法抵挡来自局域网内部的攻击。
(二)计算机病毒与木马的威胁。由于操作系统补丁和防病毒系统安装或更新的不及时,就会为病毒人侵提供条件。另外移动存储设备的无限制使用,也是病毒与木马人侵的途径。
(三)局域网用户安全意识不强。网络安全意识不强具体表现在移动存储设备的无限制使用、电脑在内外网之间的频繁切换和无意识的泄漏敏感信息等方面。
(四)局域网管理力度不足。网络管理力度不足具体表现在管理制度与规范不完善、局域网物理接人管理不严、无线设备的非加密通信、服务器端口管理不到位和IP地址规划与管理的缺陷。
三、局域网安全控制与管理策略
针对上述网络安全威胁分析可采取的局域网安全控制与管理策略有:
(一)利用防火墙技术实施服务器区域独立防护。
防火墙尤如一道防护栏隔在被保护的内网与外网之间,其可以是非常简单的过滤器,也可能是精心配置的网关,但它们的原理是一样的,都是监测并过滤所有内网和外网之间的信息交换,保护内网敏感数据不被窃取与破坏,记录内外网通信的相关日志等等。要对服务器区域实施独立防护,又不严重影响局域网的高速交换,选择防火墙来实现是比较理想的方案。
按拓扑结构可以通过防火墙分离出两个DMz区(非军事化区域)。其中内部DMz区域(服务器区域1)可对不需要外网用户访问,且对内网用户进行访问控制的一类服务器进行保护,例如应用服务器、数据库服务器等;外部DMz区域(服务器区域2)可对既需要为内网用户提供服务也需要为外网用户提供服务的一类服务器进行访问控制,例如wEB服务器、E_mail服务器等。虽然利用双重防火墙阻挡了在网络出口和人口处的攻击,但防火墙并不能消除网络上Pc机的病毒与木马,也不能控制不通过它而传输的任何信息。
(二)计算机病毒与木马防护。
网络病毒与木马能在短时间内使局域网瘫痪,造成巨大的损失,可见防毒要比查杀病毒更重要。防护局域网病毒与木马主要应从以下几个方面制定控制与管理策略:
1、解决局域网客户端操作系统补丁更新问题。
计算机操作系统漏洞为病毒侵袭和执行提供了条件,在局域网中进行操作系统补丁的更新有多种方法:单机通过因特网直接升级;局域网用户手工升级;利用补丁更新服务器升级。WSUS(Windows Server Update Services)提供免费补丁更新服务,具有搭建简单、维护方便的特点,并且网络管理员无需大量的维护操作,只需做好补丁更新服务器的更新即可,是局域网解决客户端微软补丁更新问题的良好选择。
2、在局域网中部署网络版杀毒软件。
随着网络技术的不断进步,计算机病毒也在不停的产生变化,面对网络上汹涌而来的计算机病毒大潮,单机版的杀毒软件已经不能满足局域网用户的要求。各大反病毒软件厂商也针对局域网病毒、黑客攻击等难防范和管理的问题提出了各自的解决方案,纷纷推出了具有网络管理功能的网络版防杀病毒软件。从病毒防护能力、集中管理、访问控制以及界面的友好等方面看,赛门铁克公司最新推出的Symantec End#m Protection中小企业版,是较为理想的解决方案,其致力于凭借最少的配置提供企业级的安全防护。
3、在局域网中强制禁止移动存储设备的使用。
移动存储设备如移动硬盘、优盘的无限制使用,也是计算机病毒及木马入侵网络的重要安全隐患。应该通过严格的管理制度约束用户在使用移动存储设备之前进行病毒的查杀,但该方法难以监督,也不可靠,因此采取强制的手段禁止移动存储设备的使用是必要的。要强制限制移动存储设备的使用,可利用网络版赛门铁克SEP病毒防护系统的“应用程序与设备控制策略”或局域网桌面管理系统的“设备管理”来实现的。
(三)加强局域网用户的网络安全培训、提高安全意识。
安全汇集了硬件、软件、网络、人员以及它们之间互相关系的接口,人是其中最薄弱的安全环节,然而对这个环节的加固又是见效最快的。提高用户安全意识、加强网络安全培训是必要的,通过培训让局域网用户明白信息安全的重要性,理解保证信息安全是所有计算机使用者共同的责任;使其掌握一定的安全知识,学会如何备份本地的数据;使其掌握一定的网络知识,能够理解IP配置、数据共享等知识,树立良好的计算机使用习惯。
(四)加强局域网管理力度
加强局域网管理应从以下几个方面人手:
1、制定符合实际的网络管理制度和监督办法
制定符合实际的网络管理和维护方面的制度与规范,并加强其执行过程的监督,制度与规范是对网络使用者和管理者以及外来人员使用局域网必须遵守和接受的行为约束。制定制度与规范应该从网络软硬件资源的管理、安全、使用与维护等方面人手,明确指出禁止做什么、慎重做什么,应包括对诸如局域网拓扑结构、网络设备的IP、可进行正常通信的协议与端口、远程登录的用户名与口令和设备配置信息等敏感信息的保密;限制局域网用户对网络资源的不合理使用,特别是移动存储设备的滥用行为,主机在内外网间的切换行为,提供与非安 全网络间的接入行为,故意泄密和蓄意破坏等;规范网络管理者对网络资源的管理与维护操作,避免操作不当造成网络的不稳定运行,特别是IP地址的分配与管理行为,协议、端口的开启与关闭行为,拓扑结构的改变与优化行为,网络运行情况的巡检、监控与分析行为,网络故障的判断与排除行为等。制定了完善的网络管理制度与操作规范,并不意味着网络安全威胁就完全可控了,因为对制度与规范的执行过程还需要严格的监督,应该建立严格的监督机制来强化制度的执行。
2、加强对局域网物理接人的管理
局域网用户物理接入行为管理包括对空闲和备份物理线路、交换机接口的管理,就是要有效的控制局域网的擅自接人行为,可采用的措施有:一是从接入层交换机上断开空闲和备份物理线路。该方法简单,但只适用于接人层交换机放置于独立的配线间,并且该交换机不是由用户进行管理的;二是关闭接人层交换机空闲端口,即将接入层交换机空闲端口的状态修改为“关闭状态”,该方法有效,但用户接入层必须用可管理的交换机,而非集线器或中继器。
3、加强无线设备的通信管理
在无线网络技术迅速发展的推动下,有线局域网向无线局域网扩展情况越来越多,而通信过程中的非加密通信,为非法用户的无线接入提供了便利条件。目前普遍使用的扩展方式是通过无线AP来实现的,而对无线AP的通信加密又有许多方法,其中较为简单的是启用无线AP和无线终端的WEP加密,用一个共享密钥控制连接的建立和信息的加密通信。
4、加强对局域网协议和端口的管理
加强协议和端口管理的目标是通过设置网络设备和服务器允许或拒绝的协议和端口,达到对协议和端口的访问控制。通常可以采用的措施有:一是设置局域网路由器或防火墙的访问控制策略;二是设置服务器网卡的“TCP/IP筛选器”或“配置IPsvc协议”实现对服务器的访问控制。
5、加强对IP地址分配的管理
局域网IP地址的分配方案有动态和静态两种,二者均有自己的特点和适用范围,在局域网中选择哪种分配方案通常需结合局域网实际情况而定。动态IP地址分配更适合不要求用户通过身份认证后才能访问网络的情况,其减少了网络管理员的工作量,避免了IP地址冲突的问题。静态分配方案更便于管理根据IP地址限制网络流量的网络环境中,减少了进行身份认证的繁琐过程,但它给网络管理员带来较大的工作量,也容易出现IP地址重复问题。为了防止IP地址发生冲突,可同时采取下面两种策略:一是IP地址绑定策略,即将计算机IP地址与MCA地址绑定,可以使用IP-MAC地址绑定软件或ARP命令来实现。二是封存所有空闲IP地址策略,可以采用网络工具软件或将局域网空闲IP地址添加到某台服务器的备用IP地址中来实现。